WordPress installieren – aber sicher!

WordPress absichern
WordPress absichern

WordPress ist kostenlos und populär. Doch die hohe Verbreitung macht das CMS für Hacker attraktiv! In diesem Security-Tutorial erkläre ich dir, wie du WordPress bei der Installation härtest.

Verwende ein SSL-Zertifikat

SSL-Verschlüsselung
SSL-Verschlüsselung

Für WordPress und erst recht für einen Shop benötigst du immer ein SSL-Zertifikat.

  • Manche Provider bieten ein kostenloses SSL-Zertifikat im Hostingpaket an
  • Nutze die Gelegenheit, um dir später die den Umzug von HTTP auf HTTPS zu ersparen
  • Installiere WordPress sofort auf eine HTTPS-Domain

Erzwinge HTTPS

HTTPS-Installation
HTTPS-Installation

Kontrolliere bei der Installation von WordPress, ob du im Kundencenter des Providers alles richtig eingestellt hast, insbesondere die Weiterleitung aller HTTP-Anfragen auf HTTPS. Probiere es aus! Du musst bei der Eingabe der Installations-URL sofort auf eine HTTPS-Seite umgeleitet werden, auch wenn du HTTP eingegeben hast. An diesen beiden Merkmalen erkennst du eine verschlüsselte Seite:

Lets-Encrypt-Zertifikat
onlineshop-diy ist verschlüsselt und nur über https erreichbar
  1. Grünes Schlösschen
  2. https:// statt http://

Funktioniert die Weiterleitung von HTTP auf HTTPS nicht, dann kontaktiere deinen Provider. Das macht vor der Installation ein bisschen Arbeit, erspart aber nachher ein ganze Menge Ärger. 😉

MySQL und PHP – neueste Versionen

Beim Provider auswählen
Beim Provider die Version von mySQL und PHP auswählen

Bei guten Providern kannst du für MySQL und PHP zwischen unterschiedlichen Versionen wählen. Stelle hier die aktuellen Versionen ein, also MySQL 5.6 und PHP 7. Die älteren Versionen sind nur für die Fehleranalyse gedacht!

Datenbank-Prefix ändern

Datenbank-Prefix ändern
Datenbank-Prefix ändern

Bei der Installation von WordPress musst du die Zugangsdaten zur Datenbank in die Datei config.php eintragen. Dabei hast du die Möglichkeit, das Datenbank-Prefix zu ändern. Voreingestellt ist wp_ verwende zum Beispiel wukw7_. Weil Hacker mit Standardkonfigurationen ein leichtes Spiel haben, erhöht ein individuelles Prefix die Sicherheit.

Noch ein Tipp zum sicheren Upload deiner WordPress-Dateien auf den Server des Providers: Verwende SFTP statt FTP in deinem FTP-Client. Das geht mit FileZilla und auch mit FireFTP. Nachtrag: FireFTP wird nicht mehr weiterentwickelt, sicherer ist FileZilla.

Sicheres Passwort

Sichere Passwörter
WordPress zeight die Sicherheit des Passworts an

Bei der Passwortvergabe für WordPress verwendest du natürlich NICHT 1234 oder Admin oder deinen Shopnamen! WordPress nimmt dich hier bei der Hand und blendet die Sicherheitsstufe ein. Stark ist die richtige.

Installation aufräumen

Installation aufräumen
Installation aufräumen: Die Datei wp-config-sample.php kann weg

Die Datei wp-config-sample.php hat keine Funktion, außer den Hackern zu verraten, welches CMS aufgesetzt ist.

Also weg mit der wp-config-sample.php.Aber die wp-config.php bleibt auf dem Server, denn da sind ja die Zugangsdaten für deine Datenbank gespeichert! Löschen kannst du auch die Readme-Dateien und die Lizenzinformationen. Es genügt wenn du diese Dateien lokal gespeichert hast!